INC.

На саммите стран G20, проходящем сейчас в Бразилии, президент Франции Эммануэль Макрон заявил, что криптовалюты являются угрозой для мира, поскольку нарушают глобальную финансовую стабильность. По словам Макрона, криптовалюты превратились в мощный дестабилизирующий фактор для всей мировой экономики, так как цифровые активы чрезвычайно сложно регулировать. Президент Франции подчеркнул, что в условиях нарастающей геополитической напряжённости, финансовая стабильность остаётся приоритетом для G20, и этот вопрос должен быть всегда в центре внимания. Криптовалюта не обладает никакой системой регулирования, и её дальнейшее использование без соответствующего контроля может негативным образом отразиться на финансовых системах развивающихся государств, отметил Эммануэль Макрон. Он подчеркнул, что во время международных встреч и дискуссий слишком мало внимания уделяется рискам дестабилизации мировой экономики, которые могут спровоцировать криптовалюты. Иными словами, президент Франции убеждён в том, что криптовалюты способны дестабилизировать международную обстановку и нанести значительный вред национальным экономикам, особенно в развивающихся государствах. По всей видимости, тот факт, что обесценение фиатных валют наносит ещё больший ущерб для мира, Эммануэль Макрон предпочитает не замечать. Как и положительный эффект от легализации биткоина в Сальвадоре.

Инвестиционное подразделение Tether профинансировало сделку по поставке сырой нефти в USDT на сумму $45 млн. Об этом говорится в пресс-релизе. Операцию общим объемом в 670 000 баррелей провела еще в октябре неназванная «крупная» нефтяная фирма с Ближнего Востока и сырьевой трейдер. Посредником выступила Tether Trade Finance — подразделение инвестиционной структуры Tether Investments, сепарированное от резервов стейблкоина и использующее капитал материнской компании. «С помощью USDT мы приносим эффективность и скорость на рынки, которые исторически полагались на более медленные и дорогостоящие платежные структуры. Эта сделка знаменует начало, поскольку мы стремимся поддержать более широкий спектр товаров и отраслей, способствуя большей инклюзивности и инновациям в глобальных финансах», — заявил генеральный директор Tether Паоло Ардоино. Хотя эта сделка является «первой в своем роде», она предоставляет новые возможности для кредитования в различных направлениях, подчеркнули в компании. Впервые о планах выхода Tether на сырьевые рынки стало известно в октябре. В июне Ардоино сообщил о намерении выделить свыше $1 млрд для распределения в стартапы из «сотни венчурных предложений». Напомним, по итогам III квартала эмитент USDT получил $2,5 млрд чистой прибыли. С начала года показатель достиг $7,7 млрд.

С 1 ноября в РФ вступило в силу положение о создании реестра майнеров, находящегося в ведении Федеральной налоговой службы. Депутат Антон Горелкин поделился подробностями составления данного перечня. Фактически ФНС создаст два списка: лиц, непосредственно осуществляющих майнинг, и операторов майнинговой инфраструктуры, которые предоставляют площадку для добычи. Только включенные в реестр российские юрлица и индивидуальные предприниматели смогут легально майнить на территории страны. Физлиц от регистрации освободили при условии соблюдения установленных правительством лимитов энергопотребления. По словам Горелкина, доступ к реестру будет исключительно служебным — публикация сведений запрещается, а получить их смогут только госорганы через систему межведомственного взаимодействия.

Министерство юстиции США начало расследование деятельности Tether на предмет возможного нарушения правил по борьбе с отмыванием денег. Интересно, что несколько дней назад генеральный директор Tether Паоло Ардоино призвал к введению в стране правил обращения криптовалют. Сейчас компанию снова заподозрили в возможном нарушении действующих санкций и правил по борьбе с отмыванием денег. Кроме того, выясняется, могли ли третьи лица использовать USDT для финансирования незаконной деятельности в виде торговли наркотиками, терроризма и хакерства, или отмывания доходов от этой деятельности. По предварительным данным, за ведение бизнеса с лицами и группами, которые находятся в санкционном списке США, в Министерстве финансов США обсуждают потенциальные штрафы против эмитента стейблкоина. Кроме того, не исключается, что в ведомстве могут запретить американцам проводить транзакции с использованием USDT. Комментируя информацию о расследовании, опубликованную Wall Street Journal, генеральный директор Tether Паоло Ардоино сказал, что подтверждений этой версии нет. Если же всё-таки расследование ведётся, проблемы у эмитента крупнейшего в мире стейблкоина USDT Tether отразятся на всём рынке криптовалют.

За прошедшую неделю совокупная рыночная капитализация стейблкоинов взлетела до $172 млрд, чего не отмечалось с мая 2022 года. Согласно данным аналитической платформы DefiLlama, за семь дней этот показатель вырос на 0,48%. При этом Tether USD (USDT) по-прежнему доминирует с 69,25%-й долей и капитализацией в $119,6 млрд. Рыночная капитализация стейблкоинов Данные CoinMarketCap показывают, что в настоящее время USDT является самой торгуемой криптовалютой на рынке с огромным объёмом торгов $51 млрд. Биткоин и эфир занимают второе и третье места с показателем $27,5 млрд и $14 млрд соответственно. По мнению криптовалютных экспертов, рост рыночной капитализации стейблкоинов обычно свидетельствует об увеличении ликвидности на платформах для торговли цифровыми активами. Это может служить сигналом того, что инвесторы ждут коррекции рынка, чтобы выйти из него. В результате биткоин может подешеветь до того, как стейблкоины будут конвертированы в BTC или альткоины. За последние сутки курс биткоина вырос на 3,77% до отметки $65 800. За неделю ведущий криптоактив подорожал на 5,16%, а с октября 2023 года BTC взлетел на 140,26%. За этот же период объём торгов флагманской криптовалютой увеличился на 69%.

Банк России обязал 19 кредитно-финансовых учреждений проверить трансграничные переводы физлиц-резидентов, связанные с приобретением криптовалют. Об этом свидетельствует утвержденная программа обследований регулятора на конец 2024 — начало 2025 года. Регулятор намерен оценить объемы купли-продажи цифровых валют, в частности стейблкоинов, осуществляемых россиянами за рубежом. С октября по декабрь коммерческие банки изучат транзакции за первый — третий квартал текущего года. Аналогичное обследование будет проведено в первом квартале 2025 года. Среди запрашиваемой информации: способ перевода (через платежные системы, с открытием/без открытия счета, с помощью электронных денежных средств); контрагент-переводополучатель/перевододатель; код страны банка переводополучателя/перевододателя; код валюты перевода; количество операций; сумма переводов (включая подозрительные операции). В исследовании примут участие 19 банков, включая Азиатско-Тихоокеанский банк, «Авангард», «Ак Барс», «БКС банк», «Кубань Кредит», МТС-банк, Райффайзенбанк, «Солидарность», «Союз», Ситибанк, «Юникредит» и «Юнистрим». Напомним, в апреле 2024 года стало известно о реализации пилотного проекта по установлению связей между фиатными и криптовалютными операциями пользователей, в котором принимают участие ЦБ РФ, Росфинмониторинг и пять крупных банков.

В Узбекистане зафиксирована новая вредоносная кампания, распространяющая Android-вредонос под названием Ajina.Banker. Обнаруженный специалистами Group-IB в мае 2024 года, этот троян действует с ноября 2023 года и к настоящему времени имеет около 1400 уникальных версий. Ajina.Banker получил свое название в честь мифического узбекского духа, известного своей хитростью и умением принимать различные облики. Злоумышленники используют эту способность маскировки, представляя вредоносное ПО в виде популярных приложений, таких как банковские сервисы и правительственные порталы. Это позволяет обмануть пользователей и заставить их добровольно установить троян на свои устройства. Основным способом распространения Ajina.Banker является социальная инженерия через мессенджер Telegram. Хакеры создают многочисленные аккаунты, с которых рассылают ссылки на вредоносные файлы. Эти файлы замаскированы под заманчивые предложения, акции или даже приложения налоговых органов. В результате пользователи, поддавшись на обещания «выгодных наград» или «эксклюзивного доступа», устанавливают вредонос, не подозревая об его истинной сути. Механизм атаки также включает отправку сообщений с прикреплёнными вредоносными файлами напрямую, без дополнительных объяснений. Злоумышленники активно используют разные каналы для распространения трояна, обходя тем самым встроенные системы безопасности некоторых чатов. По данным исследователей, Ajina.Banker не ограничивается атаками только в Узбекистане. Троян также собирает данные о финансовых приложениях в таких странах, как Армения, Азербайджан, Казахстан, Кыргызстан, Россия и даже Исландия. Помимо этого, программа получает доступ к SIM-картам и перехватывает входящие SMS-сообщения, включая коды двухфакторной аутентификации (2FA), что создаёт дополнительные риски для пользователей. Исследования Group-IB показали, что Ajina.Banker имеет несколько версий, что свидетельствует об его активном развитии. Новейшие версии трояна способны красть номера телефонов, данные банковских карт и PIN-коды, что делает его крайне опасным. Интересно, что Ajina.Banker действует по модели партнёрской программы: основная группа управляет инфраструктурой, а распространение и атаки осуществляются через сеть партнёров, получающих долю от похищенных средств. Эксперты по безопасности рекомендуют пользователям быть предельно осторожными при получении подозрительных сообщений и скачивании приложений. Следует использовать только проверенные магазины приложений, такие как Google Play, тщательно проверять разрешения приложений и устанавливать защитное ПО для предотвращения подобных угроз.

Хакерская группировка Earth Preta активизировала кампании против правительственных учреждений в Азиатско-Тихоокеанском регионе (АТР). По данным Trend Micro, злоумышленники обновили свои методы атак и использовали новые вредоносные программы. Одним из ключевых инструментов атак стала модификация червя HIUPAN, который распространяется через съемные носители. Червь внедряет основную вредоносную программу PUBLOAD, которая позволяет контролировать зараженные устройства и выполнять команды по сбору данных и их передаче на серверы злоумышленников. В новой схеме заражения HIUPAN начинает атаку с передачи вредоносных файлов на съемные носители. Как только носитель подключается к новому устройству, червь незаметно заражает его, скрывая свои файлы от пользователя. Особенностью новой версии HIUPAN является упрощенная конфигурация и более легкое управление распространением. Вредоносный код хранится в каталоге ProgramData, что затрудняет обнаружение. Основной задачей программы PUBLOAD является сбор системной информации и картирование сети (Network Mapping). Вредонос выполняет команды для определения активных процессов, сетевых соединений и конфигурации устройства. Для выполнения этих задач PUBLOAD использует как стандартные утилиты Windows, так и собственные инструменты для эксфильтрации данных. Кроме червя HIUPAN и программы PUBLOAD, в новой атаке были задействованы два дополнительных инструмента. FDMTP — это простая программа для загрузки вредоносного ПО, которая использует шифрование для обхода антивирусной защиты. PTSOCKET служит для передачи файлов на удаленные сервера, используя многопоточный режим, что ускоряет процесс утечки данных. Основной целью атакующих является сбор документов различных форматов, в том числе .doc, .xls, .pdf, .ppt. После сбора файлы архивируются с помощью программы RAR и передаются через команду cURL на серверы Earth Preta. Если cURL не используется, для передачи данных применяется PTSOCKET. Недавние атаки также включали в себя фишинговые кампании. Хакеры отправляли жертвам письма с вредоносными ссылками, которые вели к загрузке загрузчика DOWNBAIT, который доставлял на устройства и исполнял бэкдор PlugX, обеспечивая долгосрочный доступ к системе жертвы.

Основателя Telegram Павла Дурова задержали в парижском аэропорту Ле-Бурже, сообщают французские СМИ. Инцидент произошёл вечером 24 августа, когда частный самолет бизнесмена прибыл в Париж из Азербайджана. Вместе с 39-летним Дуровым на борту находились его телохранитель и неназванная женщина. По данным телеканала TF1, Дуров был включен в список разыскиваемых лиц во Франции (Fichier des Personnes Recherchées, FPR). Задержание произошло на основании ордера, выданного судебной полицией Франции в рамках предварительного расследования. Власти Франции предъявляют Дурову обвинения в соучастии в торговле наркотиками, преступлениях против детей и мошенничестве, связанного с отсутствием модерации контента в мессенджере Telegram. Сообщается, что после задержания Дурова поместили под стражу, и ожидается, что он будет арестован. Французские правоохранительные органы обвиняют его в том, что на платформе Telegram совершаются многочисленные правонарушения, а меры по их предотвращению не предпринимаются. По информации источника TF1, ордер на арест Дурова был действителен только на территории Франции. По словам инсайдера, бизнесмен знал, что он является «персоной нон грата» в этой стране. «Сегодня он допустил ошибку. Причины этого нам неизвестны», — отметил источник. Дуров, который ранее неоднократно подвергался критике за недостаточную цензуру в Telegram, сейчас также сталкивается с повышенным вниманием властей других стран, включая Россию, в связи с использованием мессенджера для координации незаконных действий и распространения экстремистского контента. Российский представитель при международных организациях в Вене Михаил Ульянов, а также несколько других российских политиков, в воскресенье выразили обвинения в адрес Франции, назвав её действия диктаторскими. «Некоторые наивные люди до сих пор не понимают, что если они играют более или менее заметную роль в международном информационном пространстве, то им небезопасно посещать страны, которые движутся к гораздо более тоталитарным обществам», — написал Ульянов в X. Илон Маск заявил после сообщений о задержании Дурова: «В Европе на дворе 2030 год, и вас казнят за то, что вы поставили лайк под мемом». Роберт Ф. Кеннеди-младший, который в пятницу прекратил свою президентскую кампанию в США и выразил поддержку республиканцу Дональду Трампу, заявил в эфире радиостанции X, что защита свободы слова «никогда не была столь актуальной», особенно после сообщений об аресте Павла Дурова. На фоне этих событий криптовалюта Telegram (TON), используемая для операций внутри мессенджера, потеряла в цене более 10%.

Apple анонсировала обновление следующей версии macOS, которая усложнит злоумышленникам возможность обхода защиты Gatekeeper. Gatekeeper является важной линией обороны в macOS, обеспечивающей запуск только доверенных приложений. При загрузке программы из интернета и ее первом запуске, система проверяет, что приложение разработано идентифицированным разработчиком, имеет подпись и не было изменено с целью установки вредоносного ПО. Также требуется одобрение пользователя перед запуском сторонних приложений. В новой версии macOS Sequoia, выпуск которой ожидается в сентябре, Apple еще больше ужесточила механизм защиты. Теперь пользователи не смогут обойти Gatekeeper с помощью комбинации Control+ЛКМ для открытия неподписанного программного обеспечения. Для открытия необходимо будет перейти в «Системные настройки» > «Конфиденциальность и безопасность», чтобы ознакомиться с информацией о безопасности программы и подтвердить её запуск. Изменение направлено на борьбу с вредоносным ПО и бэкдорами, нацеленными на macOS, которые часто не имеют цифровой подписи и могут обманывать пользователей, заставляя их обходить защиту Gatekeeper. Например, северокорейские хакеры распространяли неподписанный DMG-файл, маскирующийся под легитимный сервис видеозвонков MiroTalk. После того как жертва, игнорируя предупреждение безопасности Apple, нажимала открывала файл через Control+ЛКМ, вредоносная программа активировалась.

Финансовые учреждения Латинской Америки сталкиваются с новой угрозой в виде банковского трояна Mekotio, также известного как Melcoz. По данным из недавнего отчёта компании Trend Micro, в последнее время наблюдается рост кибератак, связанных с распространением этого вредоносного ПО для Windows. Троян Mekotio активен с 2015 года и нацелен на страны Латинской Америки, такие как Бразилия, Чили, Мексика, Испания, Перу и Португалия, с целью кражи банковских данных. Впервые он был задокументирован компанией ESET в августе 2020 года. Mekotio входит в группу банковских троянов, среди которых также Guildma, Javali и Grandoreiro. Специалисты ESET в своё время отметили, что Mekotio имеет характерные черты подобных вредоносных программ: он написан на языке Delphi, использует поддельные всплывающие окна, обладает функциями удалённого доступа и нацелен на страны, где говорят на испанском и португальском языках. Операция по распространению Mekotio понесла удар в июле 2021 года, когда испанские правоохранительные органы арестовали 16 человек, причастных к кампаниям социальной инженерии, направленным на европейских пользователей. Выявленная экспертами Trend Micro цепочка атак, ведущая к заражению Mekotio, начинается с фишинговых писем на тему налогов, которые побуждают получателей открыть вредоносные вложения или перейти по поддельным ссылкам, что приводит к загрузке MSI-файла установщика, использующего скрипт AutoHotKey (AHK) для запуска трояна. Данный процесс заражения Mekotio отличается от предыдущего, описанного компанией Check Point в ноябре 2021 года, где использовался запутанный батч-скрипт, запускающий PowerShell для загрузки ZIP-файла со скриптом AHK. После установки Mekotio собирает системную информацию и устанавливает связь с C2-сервером для получения дальнейших инструкций. Основная цель трояна — кража банковских данных путём отображения поддельных всплывающих окон, имитирующих легитимные банковские сайты. Также он может делать скриншоты, записывать нажатия клавиш, красть данные из буфера обмена и обеспечивать своё постоянное присутствие на заражённом устройстве. Украденная информация позволяет злоумышленникам получать несанкционированный доступ к банковским счетам пользователей и совершать мошеннические транзакции. Trend Micro подчёркивают, что Mekotio является устойчивой и постоянно развивающейся угрозой для финансовых систем, особенно в странах Латинской Америки.

Группа, ответственная за шпионское ПО Predator, заметно сократила свою активность в последние месяцы. Специалисты считают, что такое снижение – результат санкций и разоблачений на деятельность компании Intellexa. Шпионское ПО Predator неоднократно использовалось для слежки за журналистами, гражданскими активистами и оппозиционными политиками, что было тщательно задокументировано журналистскими расследованиями. Кроме того, в марте 2024 года власти США ввели санкции против двух лиц и пяти организаций, связанных с Predator, после того как Intellexa отключила свою инфраструктуру в ответ на обширное расследование её деятельности специалистами Insikt Group. Санкции были наложены на лиц и организации, связанные с консорциумом коммерческого шпионского ПО Intellexa — холдинговой компанией, занимающейся продажей Predator — за роль в «разработке, эксплуатации и распространении коммерческой шпионской технологии, используемой для слежки за американцами, в том числе за официальными лицами США, журналистами и политиками». На сам консорциум Министерство финансов США наложило санкции ещё в июле 2023 года. Тогда правительство США и несколько исследовательских организаций обвинили Intellexa в торговле кибернетическими эксплойтами, использованными для доступа к незащищённым программным системам. Исследователи заметили значительное снижение активности Intellexa, включая резкое уменьшение регистрации новых доменов с осени прошлого года. Отмечается, что санкции также повлияли на отношения Intellexa с партнерами и привели к потере некоторых клиентов. Правительства и технологические компании объединяют усилия для борьбы с распространением шпионского ПО и использованием уязвимостей нулевого дня (zero-day). Уменьшение активности Intellexa свидетельствует о том, что такие усилия приносят плоды. Включение Intellexa в черный список и последующие санкции ограничили доступ компании к американским товарам и услугам, а также к финансовой системе США, что сильно пошатнуло благосостояние фирмы. Amnesty Tech заявила, что снижение активности Intellexa стало заметным с октября, когда были опубликованы « The Predator Files », в которых были раскрыты продукты слежки альянса Intellexa, используемые по всему миру, включая попытки правительства Вьетнама прослушивать членов Конгресса США. Стоит отметить, что обычно компании, попадавшие под разоблачение, восстанавливали свою деятельность спустя некоторое время. Некоторые эксперты сомневаются в полном воздействии санкций на бизнес-операции Intellexa, особенно в европейских странах, где и ведется деятельность компании.

Главный кандидат на президентских выборах от республиканцев Дональд Трамп выступил на конференции Либертарианской партии США с рядом громких заявлений. Прежде всего, после своего избрания Трамп гарантирует сильную поддержку индустрии криптовалют во многих аспектах. К тому же Трамп пообещал смягчить приговор создателя известной даркнет-платформы Silk Road Росса Ульбрихта и вдобавок прошёлся по нынешней политике демократов в отношении блокчейн-индустрии. Рассказываю о важной ситуации детальнее. Платформа Silk Road была основана в 2011 году и управлялась Ульбрихтом под псевдонимом «Dread Pirate Roberts» с его личного ноутбука. 1 октября 2013 года ФБР изъяло цифровые носители Росса после того, как его реальная личность была установлена. Наконец, в 2015 году Ульбрихт был осуждён федеральным судом США по различным обвинениям, связанным с деятельностью Silk Road. Он был приговорён к двум пожизненным срокам и дополнительным сорока годам без возможности условно-досрочного освобождения. Многие поклонники криптовалют не разделили вердикт судьи, который делает перспективу выхода Росса из тюрьмы нулевой. Они настаивают, что ранее Ульбрихт не совершал преступлений, что должно было смягчить приговор, к тому же он лишь разработал инфраструктуру для нарушения закона, а не занимался этим сам. Для поддержки Росса создан специальный сайт, где указаны детали дела заключённого. Ну а петиция с просьбой президента США помиловать Ульбрихта набрала уже более 580 тысяч подписей. Соответственно, поддержка здесь более чем серьёзная, в связи с чем команда Трампа и придумала озвучить такое заявление. Петиция о помиловании создателя даркнет-маркета Silk Road Росса Ульбрихта Трамп также считает наказание Ульбрихта незаслуженно жёстким. Вот реплика с его выступления, которую приводит The Block. Если вы проголосуете за меня, в первый же день я смягчу приговор Россу Ульбирхту. Он уже отсидел одиннадцать лет, мы вернём его домой. Согласно данным источников Cointelegraph, Silk Road стала первой крупной даркнет-платформой с возможностью оплаты нелегальных товаров в Биткоине. В целом любители криптовалют не раз обращались к правительству с просьбами пересмотреть приговор Росса. Как мы уже отметили, они аргументировали это тем фактом, что сам Ульбрихт был лишь разработчиком и не занимался непосредственно распространением незаконных товаров. Однако против такой версии говорит тот факт, что Росс пытался нанять киллера, хотя в итоге этого не сделал. Сам Трамп делает всё возможное, чтобы привлечь как можно больше избирателей из числа владельцев криптовалют. Аудитория Либертарианской партии одобрила высказывание политика продолжительными овациями. Причём как раз заявление о возможном освобождении создателя Silk Road вызвало наибольший ажиотаж.

В первом квартале 2024 года на Филиппинах зафиксирован резкий рост кибератак на фоне обострения напряжённости в Южно-Китайском море, сообщает компания Resecurity. В сравнении с аналогичным периодом прошлого года, число кибератак увеличилось почти на 325%. Отмечается, что активность хактивистских групп и разнообразных кампаний по дезинформации выросла втрое. Во втором квартале 2024 года тенденция продолжилась: с начала апреля Resecurity зафиксировала множество атак, осуществляемых ранее неизвестными группами хакеров. Эти атаки характеризуются смешением идеологических мотивов хактивистов и пропаганды, спонсируемой государствами. Resecurity указывает на группу Mustang Panda, связанную с Китаем, как на одного из активных участников информационной войны в киберпространстве региона. Применение псевдонимов, связанных с хактивизмом, позволяет участникам угроз избегать раскрытия их истинной идентичности, создавая впечатление внутреннего социального конфликта. В рамках анализа деятельности групп угроз, Resecurity выделяет несколько ключевых акторов, ускоряющих свою активность, включая Philippine Exodus Security (PHEDS), Cyber Operation Alliance (COA), Robin Cyber Hood (RCH) и DeathNote Hackers (Philippines). Замечено также сотрудничество некоторых из этих групп с Arab Anonymous и Sylnet Gang-SG. Аналитики считают наблюдаемую активность предварительной подготовкой к более широким вредоносным действиям в регионе, включая кибершпионаж, а также целенаправленные атаки на государственные органы и критически важные объекты инфраструктуры. Среди основных целей атак — Министерство внутренних дел и местного самоуправления, Бюро растениеводства, Национальная полиция Филиппин и Таможенное бюро.

Чилийское подразделение PowerHost, IxMetro, 30 марта стало жертвой кибератаки новой группировки вымогателей SEXi. В результате атаки были зашифрованы серверы VMware ESXi компании и резервные копии данных. PowerHost — это компания, занимающаяся центрами обработки данных, хостингом и межсетевыми соединениями, расположенная в США, Южной Америке и Европе. На некоторых зашифрованных серверах VMware ESXi размещались VPS-сервера клиентов. На данный момент веб-сайты или услуги на VPS-серверах недоступны для клиентов. Компания прилагает усилия по восстановлению терабайтов данных из резервных копий, однако последнее заявление IxMetro свидетельствует о невозможности восстановления серверов, так как резервные копии также были зашифрованы.

Государственный департамент США снова объявил вознаграждение в размере $10 млн за любую информацию, которая поможет идентифицировать членов хакерской группы Blackcat. Эта группировка, специализирующаяся на программах-вымогателях, уже не раз подрывала работу компьютерных систем критически важных инфраструктурных объектов в США и по всему миру. В конце февраля Blackcat произвела масштабное нападение на компанию Change Healthcare — технологическое подразделение гиганта медицинского страхования UnitedHealth Group. Атака привела к сбоям в обработке страховых выплат на сумму свыше $14 млрд, оставив пациентов и врачей без оплаты по страховым случаям. Нарушение работы систем Change Healthcare из-за кибератаки особенно тяжело ударило по центрам общественного здравоохранения, обслуживающим более 30 миллионов малоимущих и незастрахованных пациентов. По сообщениям СМИ, UnitedHealth Group заплатила хакерам $22 млн выкупа за разблокировку систем, однако неясно, выполнила ли группа Blackcat свою часть сделки. Вскоре после атаки хакеры распространили фальшивый пресс-релиз, утверждая, что их операции якобы закрыты правоохранителями, пытаясь ввести людей в заблуждение и убедить в том, что прекращают деятельность.

Подозреваемый в организации многомиллионной схемы криптоджекинга арестован после масштабного расследования, проведенного Европолом при поддержке Национальной полиции Украины. 29-летний гражданин Украины был задержан на этой неделе в городе Николаеве. Его личность не разглашается в интересах следствия. В ходе операции, помимо задержания, были проведены обыски сразу в трех домовладениях подозреваемого. Улики, собранные во время рейдов, помогут следствию в построении обвинения. Стоит отметить, что расследование стало возможным благодаря сотрудничеству Европола с одним из крупных поставщиков облачных услуг. Именно этот провайдер изначально обратился в европейское полицейское ведомство, сообщив о взломе учетных записей своих клиентов. Затем информация была передана украинским властям. По версии следствия, преступник в течение длительного времени незаконно использовал взломанную инфраструктуру целого ряда организаций для майнинга криптовалют. Таким образом ему удалось добыть криптовалюту на сумму более 2 миллионов долларов. При этом компании-жертвы даже не подозревали о взломе, продолжая как ни в чем не бывало оплачивать услугу. Исследования показывают, что криптоджекеры в среднем получают 1 доллар прибыли из каждых 53, потраченных атакованной компанией на облачные услуги. Несмотря на то, что явление криптоджекинга изучается уже несколько лет, успешные кампании по-прежнему приносят злоумышленникам огромные суммы. Например, в 2022 году группировка TeamTNT получила около 8100 долларов в результате своей преступной деятельности. При этом жертвам пришлось оплатить счета на 430 000 долларов. Строго говоря, определение криптоджекинга подразумевает незаконное использование не только облачных ресурсов, но и любых других мощностей, пригодных для майнинга. Однако если преступники хотят получить максимально быстрый результат, они в первую очередь нацелены на облачные сервисы. Этот арест стал возможен благодаря эффективному взаимодействию правоохранительных органов и частного сектора в борьбе с киберпреступностью. Он демонстрирует важность совместной работы для выявления и пресечения подобных преступных схем. Сейчас мужчина ждет суда, о его местонахождении ничего не известно. Следствие собирает последние данные, чтобы принять справедливые меры.

Японский разработчик игр Ateam Entertainment доказал, что простая ошибка конфигурации Google Диска может привести к потенциальному, но маловероятному раскрытию конфиденциальной информации почти миллиона человек в течение 6 лет и 8 месяцев. Японская фирма является создателем мобильных игр и приложений для производительности. В компания Ateam сообщила пользователям своих приложений и сервисов, сотрудникам и деловым партнерам о своей находке 21 ноября 2023 года. По данным компании, с марта 2017 года для экземпляра компании в Google Диске неправильно установлено значение права доступа «Все в интернете: любой пользователь может найти файл в Google и открыть его, не входя в аккаунт Google». Небезопасно настроенный экземпляр Google Диск содержал 1 369 файлов с личной информацией о клиентах Ateam, деловых партнерах Ateam, бывших и нынешних сотрудниках и даже стажерах и людях, подавших заявки на должность в компании. Компания Ateam подтвердила, что данные 935 779 человек были раскрыты, из них 98,9% — клиенты. Данные, предоставляемые неправильной конфигурацией, различаются в зависимости от типа отношений каждого человека с компанией и могут включать следующее: Полные имена; Адрес электронной почты; Телефонные номера; Клиентские номера; Идентификационные номера терминала (устройства). Компания заявляет, что не видела конкретных доказательств того, что злоумышленники украли раскрытую информацию, но призывает людей сохранять бдительность в отношении нежелательных и подозрительных сообщений. Если установить для файла в Google Диске значение «Все в интернете», файл будет доступен для просмотра только тем, у кого есть точный URL-адрес, обычно предназначенный для совместной работы между людьми, работающими с не конфиденциальными данными. Если сотрудник или другой пользователь, у которого есть ссылка, по ошибке опубликует ее публично, она может быть проиндексирована поисковыми системами и стать общедоступной. Хотя маловероятно, что кто-либо самостоятельно нашел открытый URL-адрес Google Диска, это уведомление демонстрирует необходимость того, чтобы компании должным образом защищали свои облачные сервисы, чтобы предотвратить ошибочное раскрытие данных.

ИБ-компания Arctic Wolf обнаружила вымогательскую кампанию группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды. Кампания знаменует собой первый задокументированный случай, когда злоумышленники, развернувшие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для первоначального доступа. Компания Arctic Wolf, которая реагирует на «несколько случаев» эксплуатации Qlik Sense, отметила, что в атаках, вероятно, используются 3 уязвимости, которые были обнаружены за последние 3 месяца: CVE-2023-41265 (CVSS: 9,9) — уязвимость туннелирования HTTP-запросов (HTTP Request Tunneling), позволяющая удаленному злоумышленнику повысить свои привилегии и отправлять запросы, которые выполняются внутренним сервером, где размещено приложение-репозиторий. CVE-2023-41266 (CVSS: 6,5) — уязвимость обхода пути (Path Traversal), которая позволяет неаутентифицированному удаленному злоумышленнику отправлять HTTP-запросы к неавторизованным конечным точкам; CVE-2023-48365 (CVSS: 9,9) — уязвимость удаленного выполнения кода (Remote Code Execution, RCE) без проверки подлинности, возникающая из-за неправильной проверки заголовков HTTP, позволяющая удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов. Стоит отметить, что CVE-2023-48365 является результатом неполного исправления для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 сентября 2023 г. В атаках, наблюдаемых Arctic Wolf, после успешной эксплуатации недостатков следует злоупотребление сервисом Qlik Sense Scheduler для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью установления постоянства и настройки удаленного управления. Сюда входят ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Также было замечено, что киберпреступники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных. Ранее группа CACTUS проникала в сети жертв через уязвимости в VPN-оборудовании Fortinet, предварительно шифруя свой файл, чтобы избежать обнаружения. Вымогатели требуют от своих жертв миллионы долларов за расшифровку данных, а также угрожают слить всё в открытый доступ. Что отличает CACTUS от других операций , так это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Специалисты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

Группировка вымогателей ALPHV/BlackCat объявила о взломе сети медицинской компании Henry Schein. По утверждениям злоумышленников, они сумели похитить свыше 35 ТБ данных, среди которых оказались чувствительные данные о заработных платах сотрудниках и акционерах. Henry Schein — поставщик решений в области здравоохранения и компания из списка Fortune 500, имеющая операции и филиалы в 32 странах мира и доход более $12 млрд. в 2022 году. 15 октября компания сообщила, что была вынуждена отключить некоторые системы для локализации кибератаки. Отключение систем привело к сбоям в работе производственных и распределительных отделов. Программное обеспечение для управления медицинской практикой Henry Schein One не пострадало от атаки, но компания проинформировала правоохранительные органы о произошедшем и наняла экспертов в области кибербезопасности для расследования и анализа угрозы. Через неделю после сообщения о кибератаке поставщик медицинских услуг призвал клиентов размещать заказы через представителей в Henry Schein или с помощью специальных телефонных номеров. Почти через 2 недели после атаки группировка BlackCat/ALPHV добавила Henry Schein на свой сайт утечек в темной сети, утверждая, что киберпреступники взломали сеть компании и украли 35 ТБ чувствительных файлов. Группировка заявила, что она снова зашифровала устройства фирмы, как только Henry Schein почти закончила восстановление всех своих систем, поскольку текущие переговоры провалились. Стоит отметить, что запись о взломе Henry Schein на сайте BlackCat была удалена, что указывает на возобновление переговоров компанией или уплату выкупа.

GitHub предупредил о распространении кампании социальной инженерии, нацеленной на личные аккаунты сотрудников технологических фирм в сфере блокчейна, криптовалюты или онлайн-игр. Специалисты агентства CISA приписали эту кампанию северокорейской группировке Jade Sleet (TraderTraitor). Группа в основном нацелена на пользователей, связанных с криптовалютой и другими организациями, связанными с блокчейном, но также нацелена на поставщиков этих фирм. Атака начинается с того, что злоумышленник создает поддельные учетные записи (или захватывает существующие) в GitHub и в различных соцсетях и мессенджерах (LinkedIn*, Slack и Telegram)., выдавая себя за разработчика или рекрутера компании. После установления контакта с жертвой злоумышленник приглашает её для совместной работы над репозиторием GitHub и убеждает цель клонировать и выполнить содержимое. Однако репозиторий GitHub содержит ПО, которое включает вредоносные зависимости npm. Некоторые темы программного обеспечения включают медиаплееры и инструменты для торговли криптовалютой. Затем npm-пакеты загружают и запускают вредоносное ПО на устройстве жертвы. Чтобы избежать проверки пакета на вредоносные функции, киберпреступник публикует пакеты только тогда, когда он приглашает жертву в репозиторий. В некоторых случаях злоумышленник может доставить вредоносное ПО непосредственно в мессенджере, минуя этап приглашения/клонирования репозитория. На данный момент все вредоносные аккаунты отключены. Наблюдаемые полезные нагрузки включают обновленные варианты Manuscrypt для macOS и Windows, специальный троян удаленного доступа (Remote Access Trojan, RAT), который собирает системную информацию, выполняет произвольные команды и загружает дополнительные полезные нагрузки. Ранее использование инструмента Manuscrypt эксперты CISA приписали северокорейской группировке Lazarus.

Специалисты Microsoft обнаружили всплеск атак группировки Midnight Blizzard, сосредоточенных на краже учетных данных. В ходе атак хакеры используют резидентные прокси-сервисы для сокрытия исходного IP-адреса злоумышленников, нацелены на правительства, поставщиков ИТ-услуг, НПО, оборонный и критически важный секторы производства. Midnight Blizzard (Nobelium, APT29, Cozy Bear, Iron Hemlock и The Dukes) привлекла внимание всего мира компрометацией цепочки поставок SolarWinds в декабре 2020 года и продолжает полагаться на незаметные инструменты в своих целевых атаках, направленных на МИДы и дипломатические учреждения по всему миру. В атаках используются различные методы распыления паролей (Password Spraying), брутфорса и кражи токенов. По словам Microsoft, злоумышленник также проводил атаки с повторным воспроизведением сеанса, чтобы получить первоначальный доступ к облачным ресурсам, используя украденные сеансы, которые, вероятно, были приобретены путем незаконной продажи. Эксперты также сообщили, что APT29 использовала резидентные прокси-сервисы для маршрутизации вредоносного трафика в попытке запутать соединения, сделанные с использованием скомпрометированных учетных данных. Хакеры, вероятно, использовали эти IP-адреса в течение очень короткого периода времени, что могло затруднить обнаружение. По данным Центра киберзащиты и противодействия киберугрозам Украины (CERT-UA), в атаках использовались электронные письма с вложениями, использующие многочисленные уязвимости в программном обеспечении веб-почты Roundcube с открытым исходным кодом ( CVE-2020-12641 , CVE-2020-35730 и CVE-2021-44026 ) для проведения разведки и сбора данных.

Исследовательские группы Cisco Talos и Citizen Lab опубликовали технический анализ коммерческого шпионского ПО для Android под названием «Predator» и его загрузчика «Alien». Predator — это коммерческое шпионское ПО для мобильных платформ (iOS и Android), связанное с операциями по шпионажу за журналистами, высокопоставленными европейскими политиками и даже руководителями Meta *. Predator может записывать телефонные звонки, собирать информацию из мессенджеров или даже скрывать приложения и блокировать их запуск на зараженных устройствах Android. Загрузчик Alien В мае 2022 года команда Google TAG раскрыла 5 уязвимостей в Android , которые Predator использовал для выполнения шелл-кода и установки загрузчика Alien на целевое устройство. Alien внедряется в основной процесс Android под названием «zygote64», а затем загружает и активирует дополнительные компоненты шпионского ПО на основе встроенной конфигурации. Alien получает компонент Predator с внешнего адреса и запускает его на устройстве или обновляет существующий модуль на более новую версию, если такая имеется. После этого Alien продолжает работать на устройстве, обеспечивая скрытое взаимодействие между компонентами шпионского ПО, пряча их внутри легитимных системных процессов и получая команды от Predator для выполнения, обходя защиту Android (SELinux). Обход SELinux — это ключевая функция шпионского ПО, отличающая его от инфостилеров и троянов, продаваемых в Telegram по цене $150-300/месяц. Cisco объясняет, что Alien обходит защиту за счет злоупотребления контекстами SELinux, которые определяют, какие пользователи и какой уровень информации разрешен для каждого процесса и объекта в системе, снимая существующие ограничения. Кроме того, Alien прослушивает команды «ioctl» (ввод/вывод) для внутреннего взаимодействия компонентов шпионского ПО, которые SELinux не проверяет. Alien также сохраняет украденные данные и записи в общем пространстве памяти, затем перемещает их в хранилище, в конечном итоге выгружая их через Predator. Этот процесс не вызывает нарушений доступа и остается незамеченным для SELinux. Возможности Predator Predator – это основной модуль шпионского ПО, поступающий на устройство в виде ELF-файла и создающий среду выполнения Python для обеспечения различных функций шпионажа. Функциональность Predator включает: выполнение произвольного кода; запись аудио; подмену сертификатов; скрытие приложений; предотвращение запуска приложений (после перезагрузки); перечисление директорий. Примечательно, что Predator проверяет, работает ли он на Samsung, Huawei, Oppo или Xiaomi. Если да – ВПО рекурсивно перечисляет содержимое директорий, которые хранят пользовательские данные из почтовых приложений, мессенджеров, соцсетей и браузеров. Predator также перечисляет список контактов жертвы и конфиденциальные файлы в папках медиа пользователя, включая аудио, изображения и видео. Predator также подменяет сертификаты для установки пользовательских сертификатов в текущие доверенные центры сертификации пользователей. Это позволяет Predator проводить MiTM-атаки (man-in-the-middle) и шпионить за TLS-зашифрованным сетевым обменом. Cisco отмечает, что Predator осторожно использует эту возможность. ВПО не устанавливает сертификаты на системном уровне, так как это может помешать работе устройства и привлечь внимание пользователя. Пропущенные части Несмотря на такой глубокий анализ компонентов шпионского ПО, исследователи не знают деталей о двух модулях – «tcore» (основной компонент) и «kmem» (механизм повышения привилегий). Оба загружены в среду выполнения Python Predator. Аналитики полагают, «tcore» отслеживает геолокацию цели, делает снимки с камеры или имитирует выключение устройства. В свою очередь, «kmem» предоставляет произвольный доступ на чтение и запись в пространство ядра. Поскольку модули не могут быть извлечены из зараженных устройств, части шпионского ПО Predator всё ещё остаются неизведанными. Predator был разработан компанией Cytrox, которая базируется в Северной Македонии и продает коммерческое шпионское ПО и другие инструменты наблюдения. Компания Cytrox также стоит за другим шпионским ПО под названием Hermit, которое было использовано для взлома смартфонов журналистов и активистов в Индии. Predator не единственное шпионское ПО, которое используется для целенаправленных атак на пользователей с высоким уровнем риска. Другой пример - Pegasus, разработанный израильской компанией NSO Group. Pegasus также может взламывать и отслеживать смартфоны на базе Android и iOS. Pegasus был использован для шпионажа за журналистами, правозащитниками, политиками и бизнесменами в разных странах мира. Apple, один из производителей смартфонов, подвергающихся атакам Predator и Pegasus, запустила новую функцию безопасности под названием «Режим изоляции (Lockdown Mode)» в iOS 16, iPadOS 16 и macOS Ventura. Эта функция блокирует некоторые функции для обеспечения максимальной защиты от «целенаправленных кибератак».

Американский оператор сотовой связи T-Mobile сообщил о новом инциденте безопасности, который стал уже седьмым случаем утечки данных абонентов за последние пять лет. О последнем случае мы писали в январе этого года, тогда утечка затронула 37 миллионов абонентов. Однако на этот раз компания «отделалась малой кровью», ведь пострадали всего 836 абонентов, что поразительно мало на фоне ежедневных новостях о многомиллионных утечках. По словам представителей компании, в марте они обнаружили несанкционированный доступ к своей сети, который начался ещё в конце февраля. Злоумышленники не смогли получить финансовую информацию или историю звонков, но похитили PIN-коды учётных записей и множество других конфиденциальных данных абонентов. «Похищенная информация различалась от клиента к клиенту, но могла включать полное имя, контактную информацию, номер счёта и связанные с ним номера телефонов, PIN-код учётной записи T-Mobile, номер социального страхования, правительственное удостоверение личности, дату рождения, баланс и внутренние коды, которые T-Mobile использует для обслуживания учётных записей клиентов», — пояснил оператор в своём письме . Компания утверждает, что направила письма всем пострадавшим пользователям 28 апреля и автоматически сбросила PIN-коды для их учетных записей. T-Mobile довольно часто сталкивался с компрометацией данных своих абонентов. Первый известный случай произошел в 2018 году, когда два миллиона записей вместе с хешированными паролями оказались в открытом доступе. Год спустя ещё более миллиона клиентов лишились своих данных. В марте и декабре 2020 года произошли еще два нарушения безопасности, а в 2021 году в даркнете были опубликованы 48 миллионов записей клиентов. О шестом случае, произошедшем в январе этого года, мы упомянули в начале новости. Как можно заметить, T-Mobile, по-видимому, не делает никаких выводов из регулярно происходящих киберинцидентов, а общий уровень информационной безопасности компании и используемые защитные методы не представляют для злоумышленников значимого препятствия. Репутация коммуникационного гиганта падает с каждой новой утечкой, разве это не повод сменить текущий подход к безопасности на более эффективный?

Нидерландская футбольная ассоциация стала жертвой кибератаки, в результате которой хакерская группировка Lockbit получила доступ к большому объему данных. Об этом сообщает Sport.pl. Предполагается, что злоумышленники получили доступ к контрактам бывших и настоящих игроков и тренеров, документам по текущим дисциплинарным вопросам, а также к информации о финансовой деятельности ассоциации. На данный момент футбольная ассоциация не приняла решение о том, будет ли она выполнять требования хакеров. Расследование все еще продолжается, и пока оно не завершено, представители ассоциации не будут делать каких-либо заявлений относительно произошедшего. Они также отказываются комментировать вопросы о возможных виновных и их мотивах. Хакерская группа Lockbit уже потребовала выкуп за украденные данные, а в случае отказа обещает опубликовать их в середине следующей недели. Точная сумма выкупа не разглашается, однако, вероятно, она составляет несколько миллионов евро.